Le registre des activités de traitement

Le registre des activités de traitement permet de recenser vos traitements de données et de disposer d’une vue d’ensemble de ce que vous faites avec les données personnelles.

Le registre est prévu par l’article 30 du RGPD. Il participe à la documentation de la conformité.

Document de recensement et d’analyse, il doit refléter la réalité de vos traitements de données personnelles et vous permet d’identifier :

les parties prenantes (représentant, sous-traitants, co-responsables, etc.) qui interviennent dans le traitement des données,
les catégories de données traitées,
à quoi servent ces données (ce que vous en faites), qui accède aux données et à qui elles sont communiquées,
combien de temps vous les conservez,
comment elles sont sécurisées.

Au-delà de la réponse à l’obligation prévue par l’article 30 du RGPD, le registre est un outil de pilotage et de démonstration de votre conformité au RGPD. Il vous permet de documenter vos traitements de données. Il permet également de vous poser les bonnes questions : ai-je vraiment besoin de cette donnée dans le cadre de mon traitement ? Est-il pertinent de conserver toutes les données aussi longtemps ? Les données sont-elles suffisamment protégées ? Etc.

Sa création et sa mise à jour sont ainsi l’occasion d’identifier et de hiérarchiser les risques au regard du RGPD. Vous permettant d’en déduire un plan d’action de mise en conformité de vos traitements aux règles de protection des données.

Le registre du responsable de traitement doit recenser l’ensemble des traitements mis en œuvre par votre organisme.

En pratique, une fiche de registre doit donc être établie pour chacune de ces activités.

Ce registre doit comporter le nom et les coordonnées de votre organisme. ainsi que, le cas échéant, de votre représentant, si votre organisme n’est pas établi dans l’Union européenne, et de votre délégué à la protection des données si vous en disposez.

Par nature, le registre est un document interne et évolutif, qui doit avant tout aider l’organisme à piloter sa conformité.

Le registre doit toutefois pouvoir être communiqué à l’autorité de la protection des données lorsqu’elle le demande. Elle pourra en particulier l’utiliser dans le cadre de sa mission de contrôle des traitements de données.

Bonnes pratiques

Il vous faut enrichir le registre avec des informations complémentaires. vous pouvez faire du registre un véritable outil de pilotage de votre conformité au RGPD. En effet, les obligations de documentation prévues par le RGPD ne se limitent pas à l’obligation de tenir un registre. Disposer, dans un même document, de toutes les informations relatives aux traitements que vous mettez en œuvre et exigées par le RGPD vous permettra de vous assurer, à chaque instant, de votre conformité aux règles de protection des données ou d’identifier les actions que vous devez mener pour atteindre cet objectif.

Ce registre pourra également être utilisé par votre délégué à la protection des données pour accomplir l’ensemble de ses missions. voir être consulté par tout collaborateur de l’organisme ayant vocation à mettre en œuvre des traitements de données.

Par exemple, en ajoutant à votre registre les informations nécessaires pour informer les personnes (base légale du traitement, et selon le cas, fondement juridique du transfert de données vers des pays tiers, droits qui s’appliquent au traitement, existence ou non d’une décision automatisée, origine des données).vous pourrez vous appuyer sur votre registre pour rédiger vos mentions d’information.
Vous pouvez également consigner dans le registre un historique des violations de données. Mais également recenser tous les documents liés aux transferts de données hors de l’Union européenne (clauses contractuelles, BCR, etc.) et aux sous-traitants auxquels vous recourez (contrats de sous-traitance)

Une mise à jour régulière

A quelle fréquence faut-il mettre à jour le registre ?

Le registre doit être mise à jour régulièrement au gré des évolutions fonctionnelles et techniques des traitements de données. En pratique, toute modification apportée aux conditions de mise en œuvre de chaque traitement inscrit au registre (nouvelle donnée collectée, allongement de la durée de conservation, nouveau destinataire du traitement, etc.) doit être portée au registre.